På internets mörkare delar finns gott om stulna användarnamn och lösenord som läckt från företag, organisationer och privatpersoner.
Informationen är lättillgänglig för cyberbrottslingar och kan användas för att ta sig in på företag för att stjäla information eller förstöra, varnar nu säkerhetsföretaget Beyond Identity.
Så sent som i år rapporterade CyberNews att en datafil med namnet “RockYou2021.txt” publicerats på ett välbesökt forum för hackare. Filen innehåller en samling av 8,4 miljarder läckta lösenord från hela världen. De flesta företag som drabbats har ingen aning om att inloggningsuppgifter och lösenord kommit på avvägar. En studie från Google från 2019 pekar på att läckta lösenord ligger bakom åtta av tio dataintrång.
Med tanke på hur vanligt det idag är att inloggningsinformation och lösenord läcker ut, är det kanske dags att överväga att byta till en säkerhetslösning som inte utgår från användning av lösenord.
Här är fem exempel på hur Beyond Identity menar att företag kan arbeta för att identifiera och åtgärda dataläckage.
Kontrollera själv i de databaser som finns
Det är möjligt att söka efter läckta adresser och inloggningsuppgifter i existerande databaser. Den mest kända heter ”Have I Been Pwned”. För mindre företag kan det fungera att manuellt kontrollera e-postadresser en och en. För större företag erbjuds betalfunktioner med ett gränssnitt där det går att kontrollera listor över inloggningsuppgifter.
Använd en tjänst som varnar för läckor
Det finns tjänster som kontrollerar om e-postadresser från ett företag förekommer i dataläckage. Tjänsterna erbjuds ofta tillsammans med lösenordshantering, som till exempel LastPass, som kontrollerar e-postadresser mot kända dataläckage. Dessa tjänster flaggar också för webbplatser som drabbats av dataläckage efter det att du senast bytte lösenordet dit. Även om det inte automatiskt medför att data har läckt ut är det en indikation på att så kan ha skett.
Ta extern hjälp
Om verksamheten inte har tid eller resurser att själva regelbundet leta efter dataläckor går det att ta hjälp av externa företag. Det finns också mjukvara som kan installeras på alla företagets enheter och sedan söker efter och stoppar användningen av inloggningsuppgifter som rapporterats som läckta.
Ökad delaktighet från anställda
Om det inte är möjligt att hitta ett alternativ till lösenord bör man aktivt arbeta för att höja medarbetares medvetenhet om riskerna med lösenord. Undersökningar visar att nära hälften av anställda inte förstår riskerna med att använda samma lösenord för flera olika tjänster. Det kan vara bra att införa rutiner där anställda själva regelbundet får kontrollera om deras lösenord läckt ut. Det ökar medvetenheten om riskerna och varför lösenorden behöver skyddas.
System med inbyggda funktioner för kontroll
I Googles företagstjänster ingår tillägget Password Checkup som matchar användares inloggningsuppgifter mot en databas med läckt information som är tillgänglig på internet och darkweb. Men det finns inga funktioner för att IT-ansvariga ska kunna hantera detta så anställda måste själva reagera på varningarna.
De här åtgärderna kan bidra till att minska riskerna. Men med tanke på hur ofta dataläckage ändå inträffar är det troligt att allt fler företag kommer att behöva minska sitt beroende av lösenord och använda mer robusta säkerhetssystem.
